E-postvideresending til private kontoer: En snarvei til sikkerhetsrisiko og lovbrudd?

Skrevet av Remie Overbeeke



februar 24, 2026



I mange virksomheter, særlig der budsjettene er stramme eller administrasjonen ønskes forenklet, ser vi en utbredt praksis: Ansatte får tildelt en profesjonell e-postadresse (navn@bedrift.no), men i stedet for en fullverdig innboks, settes det opp et alias som videresender alt innhold til den ansattes private e-post (navn@privat.no).

Ved første øyekast virker dette som en vinn-vinn-situasjon. Bedriften sparer lisenskostnader, og den ansatte slipper å forholde seg til flere innlogginger. Men ser man nærmere på arkitekturen, avdekkes det kritiske sårbarheter innen IT-sikkerhet, personvern og teknisk leveranse.

Innholdsfortegnelse

1. Tap av datakontroll (The «Data Leakage» Problem)

Når en e-post videresendes ut av bedriftens infrastruktur, opphører virksomhetens kontroll over informasjonen umiddelbart.

Ingen «Remote Wipe»: Dersom et arbeidsforhold opphører, har IT-avdelingen ingen mulighet til å slette virksomhetskritisk informasjon eller sensitive personopplysninger fra den ansattes private innboks. Dataene blir liggende der på ubestemt tid.
Manglende revisjonsspor: Bedriftens loggsystemer stopper ved videresendingspunktet. Man mister oversikt over hvem som har lest informasjonen, om vedlegg er lastet ned på usikre enheter, eller om data er sendt videre til fjerdepart.

2. Juridiske gråsoner og GDPR

I henhold til personopplysningsloven og GDPR er en virksomhet ansvarlig for å sikre konfidensialitet og integritet for dataene de behandler.

Brudd i databehandlerkjeden: Virksomheten har som regel en databehandleravtale (DPA) med sin egen e-postleverandør (f.eks. Microsoft eller Google). De har derimot ingen avtale med den ansattes private leverandør. Teknisk sett er videresendingen en overføring av persondata til en tredjepart utenfor virksomhetens kontroll.
Innsynsrett og kontroll: Ved et eventuelt krav om innsyn eller ved mistanke om misligheter, har arbeidsgiver begrensede rettigheter til å kreve tilgang til private kontoer. Dette skaper komplekse juridiske floker som kunne vært unngått med dedikerte bedriftskontoer.

3. Akilleshælen: Autentisering og MFA

Sikkerheten i en profesjonell organisasjon er aldri sterkere enn det svakeste leddet.

Mangel på sentralstyrt MFA: Selv om bedriften har innført streng flerfaktor-autentisering (MFA) på sine systemer, kan de ikke diktere sikkerhetsnivået på en privat Gmail- eller Outlook-konto. Hvis den private kontoen blir kompromittert, ligger alle bedriftsinterne e-poster åpne for uvedkommende.
Identitetsforvirring (Shadow IT): Når ansatte svarer på e-post fra sin private konto, skapes det usikkerhet hos mottakeren. Er avsenderen faktisk den de utgir seg for å være? Dette svekker tilliten og gjør organisasjonen mer sårbar for phishing-angrep.

4. De tekniske fallgruvene: SPF, DKIM og DMARC

For IT-eksperten er kanskje dette det mest frustrerende punktet. Moderne e-postautentisering er designet for å stoppe spoofing, men videresending bryter ofte disse protokollene.

Alignment-feil: Når en e-post sendes fra en ekstern kilde til navn@bedrift.no og videresendes til en privat adresse, vil mottakers server se at e-posten kommer fra bedriftens server, men hevder å være fra den opprinnelige avsenderen.
Spam-problematikk: Fordi SPF-posten ofte ikke stemmer overens (alignment) etter videresending, vil mange e-poster enten havne i søppelposten hos den ansatte, eller bli avvist (DMARC reject). Resultatet er at viktig informasjon aldri når frem.

5. Veien videre: Profesjonelle alternativer

Løsningen er sjelden å spare seg til fant på e-postlisenser. De fleste store leverandører tilbyr «Frontline»- eller «Kiosk»-lisenser til en brøkdel av prisen for en full kontorpakke. Disse gir:

Full kontroll over data gjennom hele livssyklusen.
Sikker innlogging styrt av bedriftens policyer.
Skille mellom privatliv og jobb, som er essensielt for både ansattes trivsel og juridisk etterlevelse.

Konklusjon

Bruk av alias og videresending er en analog løsning i en digital verden med høye krav til sikkerhet. For virksomheter som tar dataene sine på alvor, er dedikerte bedriftskontoer ikke en luksus, men en nødvendighet for å opprettholde både teknisk stabilitet og juridisk compliance.

Hverdags-it.no

Gjør din IT hverdag litt enklere

Relaterte artikler

Se alle kategorier

Opprette nettside enkelt: Bygg din online tilstedeværelse uten stress

aug 6, 2023

Hei der! Opprette nettside enkelt, har du drømt om å opprette din egen nettside, men føler at det virker komplisert og tidkrevende? Det trenger ikke være slik! Hos Hverdags-it.no gjør vi det enkelt for deg å bygge en profesjonell online tilstedeværelse uten stress....

3D-printing for barn: Fra passiv skjermtid til aktiv skaperglede

feb 22, 2026

Fra skjermtid til skaperglede: Er 3D-printing den ultimate familiehobbyen? Sitter du med en følelse av at barna bruker litt for mye tid på å se på ting, og litt for lite tid på å lage ting? Da kan 3D-printing være broen dere leter etter. Det handler ikke om...

Fra idé til ferdig produkt: Risikoen ved å lage app selv i 2026

feb 16, 2026

Å lage app selv har gått fra å være en uoppnåelig drøm for de fleste, til å bli noe man kan gjøre i løpet av en kaffepause. Vi har kommet til 2026, og demokratiseringen av teknologi er komplett. Med avanserte AI-modeller og no-code-løsninger kan hvem som helst...

Hverdags-IT satser på produktutvikling – lanserer eget WooCommerce-plugin 🎉

aug 16, 2025

Vi i Hverdags-IT har alltid hatt et ønske om å gjøre teknologi enklere og mer tilgjengelig for folk flest. Nå tar vi et nytt steg: vi går inn i produktutvikling, og vårt første egenutviklede plugin for WordPress og WooCommerce er endelig klart! Hverdaags-it.no blir en...